Izin diberikan tidak tersedia dan warisan secara otomatis dinonaktifkan

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 817433 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

GEJALA

Setelah Anda meng-upgrade ke Microsoft Windows Server 2003, Anda mungkin mengalami gejala berikut:
  • Diberikan izin tidak tersedia untuk semua pengguna di unit organisasi.
  • Warisan secara otomatis dinonaktifkan pada beberapa account pengguna waktu sekitar satu jam
  • Pengguna yang sebelumnya telah didelegasikan izin, tidak lagi Apakah mereka.
Masalah ini juga dapat terjadi setelah Anda menerapkan perbaikan terbaru yang dijelaskan di Basis Pengetahuan Microsoft artikel 327825 untuk Microsoft Windows 2000 Server atau Setelah Anda menginstal Windows 2000 Paket Layanan 4 untuk Microsoft Windows 2000 Server. Untuk informasi lebih lanjut tentang perbaikan terbaru Windows 2000 327825, klik nomor artikel di bawah ini untuk melihat artikel di Microsoft Basis Pengetahuan:
327825Baru resolusi untuk masalah dengan otentikasi Kerberos ketika pengguna milik banyak kelompok

PENYEBAB

Ketika Anda mendelegasikan izin menggunakan delegasi dari Kontrol wizard, izin ini bergantung pada objek pengguna yang mewarisi izin dari orang tua wadah. Anggota dari kelompok-kelompok yang dilindungi tidak mewarisi izin dari orang tua wadah. Oleh karena itu, jika Anda menetapkan izin menggunakan Wisaya delegasi kontrol, perizinan tersebut tidak diterapkan untuk anggota kelompok-kelompok yang dilindungi.

Catatan Keanggotaan dalam kelompok dilindungi didefinisikan sebagai baik langsung keanggotaan atau transitif keanggotaan menggunakan satu atau lebih keamanan atau distribusi kelompok-kelompok. Grup distribusi dimasukkan karena mereka dapat dikonversi ke grup keamanan.

Pada Windows Server 2003, jumlah kelompok-kelompok yang dilindungi telah ditingkatkan untuk meningkatkan keamanan dalam Active Directory (lihat Bagian "Informasi selengkapnya"). Jumlah kelompok yang dilindungi juga meningkat jika Anda menerapkan perbaikan terbaru 327825 untuk Windows 2000.

PEMECAHAN MASALAH

Untuk mengatasi masalah ini, Anda dapat menginstal perbaikan terbaru. Anda harus menginstal perbaikan terbaru pada kontroler domain yang memegang domain utama Controller (PDC) emulator operasi peran master di setiap domain. Selain itu, Anda harus menginstal perbaikan terbaru pada semua pengontrol domain yang mungkin Anda gunakan untuk mengambil alih peran ini jika operasi emulator PDC saat ini menguasai pemegang peran menjadi tidak tersedia. Jika Anda tidak yakin dari kontroler domain Anda akan menggunakan untuk mengambil alih peran, kami sarankan agar Anda menginstal perbaikan terbaru di semua kontroler domain. Jika kontroler domain tanpa perbaikan terbaru mengasumsikan PDC emulator operasi peran master, izin pengguna akan di-reset lagi.

Informasi perbaikan terbaru Windows 2000

Tersedia hotfix yang didukung dari Microsoft. Namun, hotfix ini ditujukan hanya untuk memecahkan masalah yang dijelaskan di artikel ini. Gunakan hotfix ini hanya untuk sistem yang mengalami masalah khusus ini.

Apabila hotfix tersedia untuk diunduh, akan ada bagian "Tersedia unduhan hotfix" di bagian atas artikel Pangkalan Pengetahuan ini. Jika bagian ini tidak ditampilkan, kirimkan permintaan ke Layanan Pelanggan dan Dukungan Microsoft untuk mendapatkan hotfix.

Catatan Jika terjadi masalah tambahan atau jika pemecahan masalah apa pun diperlukan, Anda perlu membuat permintaan layanan tersendiri. Biaya dukungan biasa akan diterapkan pada pertanyaan dan masalah dukungan tambahan yang tidak termasuk di hotfix ini. Untuk daftar lengkap nomor telepon pelanggan layanan dan dukungan Microsoft atau untuk membuat permintaan layanan tersendiri, kunjungi Web site Microsoft berikut:
http://support.microsoft.com/contactus/?ws=support
Catatan Formulir "Tersedia download perbaikan terbaru" menampilkan bahasa untuk perbaikan terbaru tersedia. Jika tidak menemukan bahasa Anda, ini karena hotfix tidak tersedia untuk bahasa tersebut.

Persyaratan mulai ulang

Anda harus memulai ulang komputer setelah menerapkan hotfix ini.

Informasi penggantian hotfix

Perbaikan terbaru ini tidak menggantikan perbaikan terbaru lainnya.

Informasi berkas

Versi bahasa Inggris dari hotfix ini memiliki atribut berkas (atau atribut berkas yang lebih baru) yang tercantum dalam tabel berikut. Tanggal dan waktu untuk berkas-berkas tersebut dicantumkan dalam Coordinated Universal Time (UTC). Apabila Anda melihat informasi berkas, tanggal akan diubah ke waktu lokal. Untuk menemukan perbedaan waktu UTC dan waktu lokal, gunakan Zona waktu tab di Tanggal dan Waktu item dalam Panel kontrol.

Windows Server 2003 Paket Layanan informasi

Untuk memecahkan masalah ini, Dapatkan paket layanan terbaru untuk Windows Server 2003. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
889100 Cara mendapatkan paket layanan terbaru untuk Windows Server 2003

Informasi perbaikan terbaru Windows Server 2003

Tersedia hotfix yang didukung dari Microsoft. Namun, hotfix ini ditujukan hanya untuk memecahkan masalah yang dijelaskan di artikel ini. Gunakan hotfix ini hanya untuk sistem yang mengalami masalah khusus ini. Hotfix ini mungkin akan dilakukan pengujian tambahan. Oleh karena itu, apabila tidak terlalu dipengaruhi oleh masalah ini, kami sarankan Anda menunggu pemutakhiran perangkat lunak selanjutnya yang berisi hotfix ini.

Apabila hotfix tersedia untuk diunduh, akan ada bagian "Tersedia unduhan hotfix" di bagian atas artikel Pangkalan Pengetahuan ini. Jika bagian ini tidak ditampilkan, hubungi Layanan Pelanggan Microsoft dan Dukungan untuk mendapatkan hotfix.

Catatan Jika terjadi masalah tambahan atau jika pemecahan masalah apa pun diperlukan, Anda perlu membuat permintaan layanan tersendiri. Biaya dukungan biasa akan diterapkan pada pertanyaan dan masalah dukungan tambahan yang tidak termasuk di hotfix ini. Untuk daftar lengkap nomor telepon pelanggan layanan dan dukungan Microsoft atau untuk membuat permintaan layanan tersendiri, kunjungi Web site Microsoft berikut:
http://support.microsoft.com/contactus/?ws=support
Catatan Formulir "Tersedia download perbaikan terbaru" menampilkan bahasa untuk perbaikan terbaru tersedia. Jika tidak menemukan bahasa Anda, ini karena hotfix tidak tersedia untuk bahasa tersebut.Versi bahasa Inggris dari hotfix ini memiliki atribut berkas (atau atribut berkas yang lebih baru) yang tercantum dalam tabel berikut. Tanggal dan waktu untuk berkas-berkas tersebut dicantumkan dalam Coordinated Universal Time (UTC). Apabila Anda melihat informasi berkas, tanggal akan diubah ke waktu lokal. Untuk menemukan perbedaan waktu UTC dan waktu lokal, gunakan Zona waktu tab pada item tanggal dan waktu dalam Panel kontrol.

Persyaratan mulai ulang

Anda harus memulai ulang komputer setelah menerapkan hotfix ini.

Informasi penggantian hotfix

Perbaikan terbaru ini tidak menggantikan perbaikan terbaru lainnya.

Informasi berkas

Windows Server 2003, edisi 32-bit
Windows Server 2003, edisi 64-bit
Setelah Anda menginstal perbaikan terbaru Windows 2000 dan pada Windows Server 2003, Anda dapat mengatur seluruh hutan dsHeuristic Bendera untuk kelompok-kelompok operator yang dilindungi oleh adminSDHolder. Dengan menggunakan opsi baru ini, Anda dapat mengatur beberapa atau semua kelompok dilindungi empat enlisted kembali ke perilaku Windows 2000 asli. Posisi karakter 16 ditafsirkan sebagai nilai heksadesimal, di mana karakter paling kiri adalah posisi 1. Oleh karena itu, nilai yang hanya valid adalah "0" melalui "f". Setiap kelompok operator memiliki sedikit tertentu sebagai berikut:
  • Sedikit 0: Account operator
  • Bit 1: Server operator
  • Sedikit 2: Cetak operator
  • Sedikit 3: Cadangan operator
Sebagai contoh, nilai 0001 cara mengecualikan Account operator. A nilai 'c' akan mengecualikan cetak operator (0100) dan cadangan Operator (1000) karena biner jumlah 1100 mencerminkan nilai heksadesimal 0xC.

Untuk mengaktifkan fungsionalitas baru, Anda harus memodifikasi obyek dalam wadah konfigurasi. Pengaturan ini merupakan hutan luas. Untuk memodifikasi objek, ikuti langkah berikut:
  1. Menemukan objek yang Anda ingin memodifikasi.Untuk informasi selengkapnya tentang cara melakukannya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
    326690Anonim LDAP operasi untuk Active Directory dinonaktifkan pada domain Windows Server 2003 controller
  2. Pada prompt perintah, ketik LDP.exedan kemudian tekan ENTER untuk mulai utilitas LDP.
  3. Klik Sambungan, klikmenghubungkan kemudian klik Oke.
  4. Klik Sambungan, klikBind, ketik nama pengguna dan password root hutan administrator, dan kemudian klik Oke.
  5. Klik Lihat, klik Pohon, kemudian klik Oke.
  6. Menggunakan View\Tree, membuka konfigurasi berikut CN:
    CN = layanan direktori, CN = Windows NT, CN = layanan, CN = konfigurasi, DC =Hutan akar domain
  7. Menemukan objek layanan direktori, dan kemudian Klik dua kali.
  8. Periksa atribut objek daftar pada sisi kanan untuk menentukan apakah dsHeuristics atribut sudah ditetapkan. Jika sudah diatur, maka nilai Salin ke clipboard.
  9. Klik kanan Layanan direktori objek di sisi kiri, dan kemudian klik Memodifikasi.
  10. Sebagai nama atribut, ketikdsHeuristics.
  11. Sebagai nilai, jenis 000000000100000f. Mengganti nol dalam bagian pertama dari nilai dengan apa yang Anda mungkin sudah telah di dsHeuristics. Pastikan bahwa Anda harus menghitung benar digit "f" atau apa pun bit Anda ingin mengatur.

    Catatan Untuk memverifikasi bahwa karakter benar sedang diubah, setiap kesepuluh karakter harus diatur ke jumlah karakter hingga saat itu dibagi dengan sepuluh. Sebagai contoh, sepuluh karakter harus 1, abad kedua puluh karakter harus 2, karakter ketigapuluh harus 3, dan seterusnya.
  12. Jika atribut sudah ada, klikGanti dalam Operasi kotak. Jika tidak, Klik Tambahkan.
  13. Tekan ENTER di sebelah kanan untuk kelompok operasi untuk menambahkannya untuk transaksi LDAP.
  14. Klik Menjalankan untuk menerapkan perubahan objek. Setelah perubahan ini direplikasi untuk Emulator PDC di hutan, orang-orang yang menjalankan perbaikan terbaru ini tidak akan melindungi pengguna yang anggota grup operator yang sudah Anda tetapkan bit untuk.

TEKNIK PEMECAHAN MASALAH

Untuk mengatasi masalah ini, gunakan salah satu dari berikut metode.

Metode 1: Pastikan anggota tidak anggota grup dilindungi

Jika Anda menggunakan izin yang didelegasikan di organisasi unit tingkat, memastikan bahwa semua pengguna yang memerlukan izin yang diberikan bukan anggota dari salah satu kelompok-kelompok yang dilindungi. Untuk pengguna yang sebelumnya anggota dari kelompok yang dilindungi, bendera warisan tidak secara otomatis mengatur ulang ketika pengguna akan dihapus dari grup dilindungi. Untuk melakukan ini, Anda dapat menggunakan script berikut.

Catatan Script ini memeriksa warisan bendera untuk semua pengguna yang AdminCount diatur ke 1. Jika warisan dinonaktifkan (SE_DACL_PROTECTED diatur), script akan memungkinkan warisan. Jika warisan sudah diaktifkan, warisan akan tetap aktif. Selain itu, AdminCount akan reset ke 0. Ketika kain adminSDHolder berjalan lagi, itu akan menonaktifkan warisan dan mengatur AdminCount 1 untuk semua pengguna yang tetap dalam kelompok-kelompok yang dilindungi. Oleh karena itu, AdminCount dan warisan yang ditetapkan dengan benar untuk semua pengguna yang tidak lagi anggota dari kelompok-kelompok yang dilindungi.

Penting: Jika Anda menjalankan script ini dari sebuah sistem yang menjalankan Windows Vista dan di atasMohon Buka cmd prompt dengan hak istimewa administratif dan kemudian jalankan script ini.

Gunakan perintah berikut untuk menjalankan script:
Cscript /nologo resetaccountsadminsdholder.vbs

Microsoft menyediakan pemrogaman hanya untuk ilustrasi, tanpa garansi baik tersurat maupun tersirat. Ini termasuk, namun tidak terbatas pada, tersirat jaminan dapat diperjualbelikan atau kesesuaian untuk tujuan tertentu. Artikel ini mengasumsikan bahwa Anda sudah familiar dengan bahasa pemrograman yang sedang menunjukkan dan dengan alat-alat yang digunakan untuk membuat dan memperbaiki prosedur. Teknisi Microsoft dapat membantu menjelaskan fungsionalitas prosedur tertentu, tetapi mereka tidak akan mengubah contoh tersebut untuk menyediakan ditambahkan fungsi atau membangun prosedur untuk memenuhi kebutuhan spesifik Anda.
'********************************************************************
'*
'* File:           ResetAccountsadminSDHolder.vbs 
'* Created:        November 2003
'* Version:        1.0
'*
'*  Main Function:  Resets all accounts that have adminCount = 1 back
'*	to 0 and enables the inheritance flag
'*
'*  ResetAccountsadminSDHolder.vbs 
'*
'* Copyright (C) 2003 Microsoft Corporation
'*
'********************************************************************

Const SE_DACL_PROTECTED = 4096

On Error Resume Next

Dim sDomain
Dim sADsPath
Dim sPDC


Dim oCon 
Dim oCmd
Dim oRst
Set oRst = CreateObject("ADODB.Recordset")
Set oCmd = CreateObject("ADODB.Command")
Set oCon = CreateObject("ADODB.Connection")

Dim oRoot
Dim oDomain
Dim oADInfo
Dim oInfo
Set oADInfo = CreateObject("ADSystemInfo")
Set oInfo = CreateObject("WinNTSystemInfo")
sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

oCon.Provider = "ADSDSOObject"
oCon.Open "Active Directory Provider"

oCmd.ActiveConnection = oCon

Set oRoot = GetObject("LDAP://rootDSE")
sDomain = oRoot.Get("defaultNamingContext")
Set oDomain = GetObject("LDAP://" & sDomain)
sADsPath = "<" & oDomain.ADsPath & ">"

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"
Set oRst = oCmd.Execute

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

If oRst.RecordCount = 0 Then
    WScript.Echo "no accounts found"
    WScript.Quit
End If

Do While Not oRst.EOF
    WScript.Echo  "found object " & oRst.Fields("ADsPath")
    If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"
    If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"
    WScript.Echo  "=========================================="
    oRst.MoveNext
Loop


Private Function SetInheritanceFlag(DSObjectPath)

    Dim oSD
    Dim oDACL
    Dim lFlag
    Dim oIADs

    Set oIADs = GetObject(DSObjectPath)

    Set oSD = oIADs.Get("nTSecurityDescriptor")

    If oSD.Control And SE_DACL_PROTECTED Then
        oSD.Control = oSD.Control - SE_DACL_PROTECTED
    End If

    oIADs.Put "nTSecurityDescriptor", oSD
    oIADs.SetInfo
    
    If Err.Number <> 0 Then
        SetInheritanceFlag = Err.Number
    Else
        SetInheritanceFlag = 0
    End If

End Function


Private Function SetAdminCount(DSObjectPath, AdminCount)

    Dim oIADs
    Dim iAdminCount

    Set oIADs = GetObject(DSObjectPath)

    iAdminCount = oIADs.Get("adminCount")

    If iAdminCount = 1 Then iAdminCount = 0

    oIADs.Put "adminCount", iAdminCount
    oIADs.SetInfo
    If Err.Number <> 0 Then
        SetAdminCount = Err.Number
    Else
        SetAdminCount = 0
    End If
    
End Function
Untuk memastikan bahwa Anda tidak mempengaruhi pengguna, kami sarankan bahwa yang pertama akan membuang pengguna yang memiliki AdminCount diatur ke 1 dengan menggunakan Ldifde.exe. Untuk melakukannya, ketik perintah berikut pada prompt perintah, dan kemudian tekan MASUKKAN:
ldifde -f Admincount-1.txt - d dc =Anda domain -r "(& (objectcategory=person)(objectclass=user)(admincount=1))"
Meninjau file output untuk mengkonfirmasi bahwa semua pengguna yang akan memiliki DACL dilindungi sedikit dibersihkan akan memiliki yang benar izin dengan warisan akses dikendalikan entri (ACEs) hanya. Metode ini lebih disukai dan tidak melemahkan ada keamanan.

Metode 2: Mengaktifkan warisan pada wadah adminSDHolder

Jika Anda mengaktifkan warisan pada wadah adminSDHolder, semua anggota dari kelompok-kelompok dilindungi telah mewarisi izin diaktifkan. Dari segi fungsi keamanan, metode ini akan beralih perilaku adminSDHolder wadah kembali ke pra-Service Pack 4 fungsi.

Memungkinkan warisan pada wadah adminSDHolder

Jika Anda mengaktifkan warisan pada wadah adminSDHolder, salah satu dua pelindung akses (ACL) daftar mekanisme dinonaktifkan. The izin default yang diterapkan. Namun, semua anggota dilindungi kelompok mewarisi izin dari unit organisasi dan setiap orangtua organisasi unit jika warisan diaktifkan di tingkat unit organisasi.

Pada memberikan perlindungan warisan untuk pengguna administratif, memindahkan pengguna administratif (dan pengguna lain yang memerlukan perlindungan warisan) untuk unit organisasi mereka sendiri. Di tingkat unit organisasi, menghapus warisan dan kemudian menetapkan izin untuk mencocokkan ACLs saat ini pada adminSDHolder wadah. Karena hak akses pada wadah adminSDHolder mungkin berbeda (misalnya, Microsoft Exchange Server menambahkan beberapa izin atau izin mungkin telah dimodifikasi), meninjau anggota sebuah kelompok dilindungi izin saat ini pada wadah adminSDHolder. Sadarilah bahwa pengguna Interface (UI) tidak menampilkan semua izin pada wadah adminSDHolder. Gunakan DSacls untuk melihat semua izin pada wadah adminSDHolder.

Anda dapat mengaktifkan warisan pada wadah adminSDHolder dengan menggunakan ADSI Edit atau Direktori pengguna dan komputer active. Jalan wadah adminSDHolder adalah CN = adminSDHolder, CN = System, DC =<mydomain>, DC =<com><b00> </b00></com> </mydomain>

Catatan Jika Anda menggunakan direktori pengguna dan komputer Active, pastikan Fitur lanjutan dipilih pada Lihatmenu.

Untuk mengaktifkan warisan pada wadah adminSDHolder:
  1. Klik kanan wadah, dan kemudian klikProperti.
  2. Klik Keamanan tab.
  3. Klik Lanjutan.
  4. Klik untuk memilih Memungkinkan diwariskan izin untuk menyebarkan objek ini dan semua objek anak-anak kotak centang .
  5. Klik Oke, lalu klikTutup.
Saat berikutnya yang kain SDProp berjalan, bendera warisan adalah set pada semua anggota kelompok-kelompok yang dilindungi. Prosedur ini dapat berlangsung hingga 60 menit. Memungkinkan cukup waktu untuk perubahan ini untuk mereplikasi utama kontroler domain (PDC).

Metode 3: Menghindari warisan dan hanya mengubah ACLs

Jika Anda tidak ingin pengguna yang merupakan anggota dari kelompok-kelompok yang dilindungi untuk mewarisi izin dari wadah yang pengguna berada di, dan Anda hanya ingin mengubah keamanan pada objek pengguna, Anda dapat mengedit keamanan pada adminSDHolder wadah direktori. Dalam skenario ini, Anda tidak perlu mengaktifkan warisan pada wadah adminSDHolder. Anda hanya perlu menambahkan bahwa kelompok atau edit keamanan grup keamanan yang sudah didefinisikan pada wadah adminSDHolder. Setelah satu jam, kain SDProp akan berlaku perubahan yang dibuat untuk ACLs wadah adminSDHolder untuk semua anggota kelompok-kelompok yang dilindungi. Anggota tidak akan mewarisi keamanan wadah mereka tinggal di.

Sebagai contoh, Self akun memerlukan Memungkinkan untuk membaca semua properti kanan. Mengedit pengaturan keamanan wadah adminSDHolder untuk memungkinkan hak ini pada diri sendiri account. Setelah satu jam, hak ini akan diperbolehkan untuk diri account untuk semua pengguna yang merupakan anggota dari kelompok-kelompok yang dilindungi. Bendera warisan tidak berubah.

Contoh berikut menunjukkan bagaimana menerapkan perubahan ke adminSDHolder objek hanya. Contoh ini memberikan hak akses berikut pada adminSDHolder objek:
  • Daftar isi
  • Membaca semua properti
  • Menulis semua properti
Untuk memberikan izin ini pada adminSDHolder objek, ikuti langkah berikut:
  1. Dalam direktori pengguna dan komputer Active, klikFitur lanjutan pada Lihatmenu.
  2. Cari adminSDHolder objek. The obyek tersebut ada di lokasi berikut untuk setiap domain dalam Active Directory hutan:CN = adminSDHolder, CN = System,DC = domain, DC = com SiniDC = domain, DC = com nama terkemuka domain.
  3. Klik kanan adminSDHolder, lalu klikProperti.
  4. Dalam Properti kotak dialog, klikKeamanan tab dan kemudian klik Lanjutan.
  5. Dalam Pengaturan kontrol akses untuk adminSDHolder kotak dialog, klik Tambahkan padaIzin tab.
  6. Dalam Pilih pengguna, komputer, atau grupkotak dialog, klik account yang ingin Anda berikan izin terkait, kemudian klik Oke.
  7. Dalam Entri izin untuk adminSDHolderkotak dialog, klik Objek ini hanya dalam Menerapkan ke kotak, dan kemudian klik Daftar isi, Baca Semua properti, dan Menulis hak-hak semua properti.
  8. Klik Oke untuk menutup Izin Entri untuk adminSDHolder kotak dialog, Kontrol Akses Pengaturan untuk adminSDHolder kotak dialog, dan adminSDHolder Properti kotak dialog.
Dalam satu jam, ACL akan diperbarui pada objek pengguna terkait dengan kelompok-kelompok yang dilindungi untuk mencerminkan perubahan.Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
232199Deskripsi dan update dari objek adminSDHolder Active Directory
318180 AdminSDHolder benang mempengaruhi transitif anggota grup distribusi

STATUS

Microsoft telah mengkonfirmasi bahwa ini adalah masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk". Masalah ini pertama kali dikoreksi di Windows Server 2003 Paket Layanan 1.

INFORMASI LEBIH LANJUT

Active Directory menggunakan mekanisme perlindungan untuk memastikan bahwa ACLs ditetapkan dengan benar untuk anggota kelompok-kelompok yang sensitif. Mekanisme berjalan satu kali per jam pada master operasi PDC. Membandingkan master operasi ACL pada account pengguna yang merupakan anggota dari dilindungi kelompok terhadap ACL pada objek berikut:
CN = adminSDHolder, CN = System, DC =<mydomain></mydomain>DC =<com></com>

Catatan"DC =<mydomain></mydomain>DC =<com></com>" mewakili nama dibedakan (DN) dari domain Anda.

Jika ACL berbeda, ACL pada objek pengguna ditimpa untuk mencerminkan keamanan pengaturan objek adminSDHolder (dan warisan ACL dinonaktifkan). Ini proses melindungi account ini dari yang dimodifikasi oleh pengguna yang tidak sah jika account akan dipindahkan ke kontainer atau unit organisasi di mana berbahaya pengguna telah diberikan kredensial administratif untuk mengubah account pengguna. Menyadari bahwa ketika pengguna akan dihapus dari grup administratif, proses ini tidak terbalik dan harus diganti secara manual.

Catatan Untuk mengontrol frekuensi di mana objek adminSDHolder Update keamanan penjelas, membuat atau memodifikasi AdminSDProtectFrequency entri dalam subkunci registri berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Ketika entri registri AdminSDProtectFrequency tidak ada, objek adminSDHolder update keamanan penjelas setiap 60 menit (3600 detik). Anda dapat menggunakan entri registri ini untuk mengatur frekuensi ini untuk setiap tingkat antara 1 menit (60 detik) dan 2 jam (7200 detik) dengan memasukkan nilai dalam detik. Namun, kami tidak menganjurkan bahwa Anda mengubah nilai ini kecuali singkat periode pengujian. Mengubah nilai ini dapat meningkatkan LSASS pengolahan overhead.

Daftar berikut ini menjelaskan kelompok-kelompok yang dilindungi di Windows 2000:
  • Admin Perusahaan
  • Skema admin
  • Admin Domain
  • Administrator

Daftar berikut ini menjelaskan kelompok-kelompok yang dilindungi di Windows Server 2003 dan Windows 2000 setelah Anda menggunakan perbaikan terbaru 327825 atau Anda menginstal Windows 2000 Paket Layanan 4:
  • Administrator
  • Rekening operator
  • Server operator
  • Mencetak operator
  • Operator cadangan
  • Admin Domain
  • Skema admin
  • Admin Perusahaan
  • Cert penerbit
Selain itu pengguna berikut juga dianggap dilindungi:
  • Administrator
  • Krbtgt
Sadarilah bahwa keanggotaan grup distribusi tidak mengisi pengguna tanda. Oleh karena itu, Anda tidak dapat menggunakan alat-alat seperti "whoami" untuk berhasil menentukan keanggotaan grup.

Untuk informasi lebih lanjut tentang didelegasikan administrasi, download Praktik terbaik untuk mendelegasikan administrasi direktori aktif kertas putih. Untuk melakukannya, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730-dae7c0a1d6d3&DisplayLang=en

Properti

ID Artikel: 817433 - Kajian Terakhir: 04 Oktober 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Kata kunci: 
kbautohotfix kbwinserv2003sp1fix atdownload kbhotfixserver kbqfe kbmt KB817433 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:817433

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com